Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

WiFi törés WPS-en keresztül

2012.01.13. 17:30 | buherator | 16 komment

Stefan Viehböck és Craig Heffner december végén egymástól függetlenül számoltak be egy új módszerről a WiFi hálózatok titkosításának kijátszására. A módszer egy kényelmi funkció, a Wireless Protected Setup (WPS) tervezési hibáját használja ki.

A WPS lényege, hogy a hozzáférési pont el tudja küldeni a titkosítási beállításokat a hozzá kapcsolódni kívánó eszközöknek, ha azok ismerik az AP 8 jegyű PIN kódját. A szabványt kielégítő eszközök három féle lehetőséget ajánlhatnak fel a konfigurációra, ezek közül kettő egy AP-n lévő gomb nyomogatását, vagyis fizikai hozzáférést igényel, a harmadik viszont csak a PIN-t kéri, ez utóbbival van a baj.

Mivel a protokollüzenetek kiszámítása viszonylag komoly feladat egy átlag AP számára, az online brute-force túlzottan lassú, még egy ilyen kis kulcstér esetén is. A kutatók azonban rámutattak arra, hogy a protokoll külön üzenetekkel jelzi a PIN első és utolsó négy számjegyének helyességét, így 10^8 helyett csak 2*10^4 lehetőséget kell végigpróbálgatni, ami viszont már kivitelezhető. Logikus lépés lenne egy időre kizárni a túl sokat próbálkozó delikvenseket, ezt a biztonsági funkciót azonban a publikáció szerint a legtöbb gyártó nem valósítja meg.

Bár a hír még decemberi, egész eddig nem posztoltam róla, mert bár a WEP óta már nehezen lepődök meg bármilyen WiFi-biztonsági bakin, azért ekkora hátsó ajtót nyitni mégis abszurdnak tűnt. Másrészt a kiadott doksi is elég hígnak látszik: sok a lényegtelen táblázat, kevés a konkrét információ, és még az sincs egyértelműen leírva, hogy a tesztelt eszközök valójában elestek-e a támadástól, és ha igen, konkrétan mennyi idő alatt.

Így hát nekiálltam tesztelni a kéznél lévő eszközökkel: egy Netgear WNDR3700 és egy TP-Link WR841N routerrel (ez a fenti videóban szereplő eszköz kistestvére). A Netgearnél nem találtam external registrar opciót (nem beszélve arról, hogy ezek az eszközök elvileg ki is zárják a túl bőszen próbálkozókat). Ebből már leszűrhető, hogy attól, hogy egy termék WPS hitelesített, még egyáltalán nem biztos, hogy egy PIN megadása elég a konfigurációhoz, így a sebezhetőség nem használható ki minden ilyen eszközön. 

A TP-Linknél elméletileg lehetséges a tisztán PIN-alapú konfiguráció, de sem a wpscrack.py sem a Reaver nem működött, pedig három WiFi kártyával, köztük a több csatában bizonyított D-Link DWL-G650-nel is próbálkoztam (thx Dnet!). Itt fontos megjegyezni azt is, hogy ez a készülék (és a videóban szereplő) nem WPS hitelesített, hanem a TP-Link QSS-nek nevezett WPS-mutációját használják, így a fenti támadás reprodukálásával sem lehetne messzemenő következtetést levonni az összes WPS hitelesített termékkel kapcsolatban.

Le kell szögezni, hogy a protokollban szarvashibát vétettek, amit valahogy kezelni kell a későbbiekben. Jelenleg azonban úgy látom, hogy a probléma gyakorlati hatásával kapcsolatban erősen túlzó kijelentések láttak napvilágot. Persze jobb félni, mint megijedni, a WPS lekapcsolásába senki nem fog belehalni. Ha tehetitek, futtassatok teszteket ti is, az eredményeket kíváncsian várom!

Frissítés:

Végül nekem is sikerült működésre bírnom a Reaver-t, a trükk az, hogy airmon-t kell használni a monitor módba állításhoz, az iwconfig nem jó. A QSS-es TP-Linkek úgy tűnik, hullanak (10-12 óra törési idő), más gyártók WPS hitelesített termékeivel kapcsoltban viszont jöhetne még visszacsatolás!

Címkék: wifi wlan wps qss

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

efjoco 2012.01.13. 21:47:19

üdv nekem sikerült TL-WR1043ND-t (legfrissebb firmware, alapból qss bekapcsolva) TL-WN722N-nel reaverrel kb 4-5óra alatt

petya1988 2012.01.13. 22:01:56

@efjoco: Helló! Leírnád részletesen hogy hogyan sikerült feltörni!

_2501 2012.01.13. 22:34:54

gr8! én is kíváncsian várom. :)

_2501 2012.01.14. 23:14:48

nekem nem volt még eddig szerencsém élesben sikert elkönyvelni. :/

buherator · http://buhera.blog.hu 2012.01.15. 01:02:04

@_2501: Én is megnéztem még pár SSID-t, eredménytelenül :(

@efjoco: Hálásak lennénk, ha leírnád, hogy out-of-the-box működött-e a Reaver, hányas verzió volt, milyen messze voltál az AP-tól, kellett-e nyomogatni a routert, meg amit még lehet :) kezd gyanússá válni, hogy van egy tényező az egyenletrendszerben, amit nem veszünk figyelembe...

_2501 2012.01.15. 13:54:10

@buherator: Re. Na csak nem bírtam ki, befektettem egy tplinkbe (TL-WR841N) és most ezen működni látszik. Lassú mint a retek (3 seconds/attempt), de forgatja. Jön néhány ilyen:
[!] WARNING: Last message not processed properly, reverting state to previous message
[!] WARNING: Out of order packet received, re-trasmitting last message
... meg ilyen:
[!] WARNING: Receive timeout occurred

15 perc alatt 2.5% complete, még nem kapta el egyik felét sem... addig nézem a discoveryt. :)

buherator · http://buhera.blog.hu 2012.01.15. 14:03:32

@_2501: Zsír! Ez a Reaver? Milyen messziről, milyen kártyával?

_2501 2012.01.15. 14:13:09

@buherator: jaja, reaver 1.3, fél méterről, a dell inspironba integrált realtek 8176-al.

_2501 2012.01.15. 14:36:41

eddig 1 órája megy és 9.67%

_2501 2012.01.15. 16:17:12

[+] Key cracked in 2190 seconds
[+] WPS PIN: '37939748'
[+] WPA PSK: '5CCC4992DB9CBA787E92356C9D61DB55AA6CAEE41284595407CD7D6619B603E5'
[+] AP SSID: 'Network-f8d1115956b2'

De csaltam, a pin első 4 digitjét megadtam kézzel mert nem bírtam kivárni, így a maradék keyspace 10^3 szal 1000.

efjoco 2012.01.15. 21:38:20

persze...
maurisdump.blogspot.com/2011/12/reaver-11-wps-brute-force-cracker-to.html

ez alapján csináltam (2 és 3 seconds/attempt)
Reaver 1.2 -vel (az oldalon hozzászólásban le van írva a telepítés)
1 méterről
nem nyomtam meg a gombot (egyszer sem)
backtrack r1-et használtam (x86 gnome)
a gnome fagyogatott(mikor először probáltam a reavert), ezért (reboot után) nem indítottam grafikus felületet és így futattam

budee 2012.01.16. 12:52:19

ars hacking WiFi Protected Setup with Reaver: arst.ch/s0i

chipi 2013.01.30. 23:23:17

Sziasztok!
Én próba képen kipróbáltam és beállítottam egy wifi tp link ruteremet. Sajnos reaver nem akar működni, folyton hibát ír.
Kipróbáltam a wifite programot is, de eredménytelen.

ftptarhely.com/chipi/kepek/linux/wifite.jpg

Mit csinálok rosszul?

somla 2013.01.31. 01:59:08

Szia

Ne haragudj, hogy kijavítalak, de nem 2*10^4, hanem 10^4+10^3 azaz 11.000 db pin van.

forrás:
www.ehacking.net/2012/01/reaver-wps-wpawpa2-cracking-tutorial.html

További szép napot

radnóti zsuzsanna 2013.04.13. 16:48:30

sziasztok! nem rég vettem egy érintős telefont és van benne wi-fi csak azt nem tudom hogy kell használni.mert fent a városban tudom használni a yuotobot meg a facebookot,de már itthon nem tudom használni.de miért nem? ezt nem értem kitudja meg mondani nekem? elöre is köszönöm! tán kell hozzá valami?